1. Windows Search
2022 Christmas CTF
2. Explanation
Windows.edb
Windows.edb는 "Window + s"를 입력하여 나오는 검색 기능과 관련된 아티팩트이며 검색한 데이터들을 Indexing한다.
- 마이크로소프트 윈도우 운영체제에서 검색 기능에 의하여 생성되는 데이터베이스 파일
- 검색 기능에서 검색한 모든 종류의 파일들에 대한 값들을 저장한 데이터베이스
경로는 다음과 같으며 Live system에서 .db 파일로 저장될 수 있다.
- 윈도우 10, 11 : C:\ProgramData\Microsoft\Search\Data\Applications\Windows\
- 윈도우 7, 8 : C:\ProgramData\Microsoft\Search\Data\Windows\
해당 파일(Windows.edb)은 WinSearchDBAnalyzer라는 파싱 도구를 사용하여 분석할 수 있다.
위와 같이 current system이 아닌 extract된 문제 파일로 설정하고 file path를 입력한다.
한국 표준시(Korea Standard Time, KST)는 협정 세계시(UTC)보다 9시간 앞서기에 UTC+9로 설정한다.
위 사진과 같이 ActivityHistory에서 flag.txt라는 파일이 존재함을 알 수 있으며
위와 같이 Indexing된 데이터들 중에서 바탕화면에 저장되어 있는 flag.txt 파일을 식별할 수 있다.
최종적으로 Search_AutoSummary에서 flag를 획득할 수 있다.
추가적으로 WinSearchDBAnalyzer 도구에서 자체적으로 확장자별로 파일을 직관적으로 볼 수 있게 제공하는 Categorize에서도 flag.txt를 식별할 수 있다.
DH{dO_y0u_kNOw_hOw_wINDOws_5eArcH_wOrK?}Reference
WinSearchDBAnalyzer tool download
http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
'Digital_forensic > CTF' 카테고리의 다른 글
| [Dreamhack] sleepingshark Write-up (1) | 2024.12.24 |
|---|---|
| [Dreamhack] lolololologfile Write-up (1) | 2024.12.19 |
| MSB와 LSB를 활용한 Bit Plane 방식 관련 문제 풀이 방안 (0) | 2024.11.23 |
| [Dreamhack] Grand Theft Auto Write-up (0) | 2024.11.22 |
| [Docker] 서버 컨테이너 실행 및 데이터 통신 관련 풀이 방법 (0) | 2024.11.07 |